unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
lubuntu-lulu schrieb: Vermutlich bin ich der Noob, denn ich dachte bestimmte Verschlüsselungs-Algorythmen sind immer noch nicht geknackt worden?
Dein Satz klingt für mich als Laien ein wenig so, als ob jegliche Verschlüsselung am Ende sowieso nichts bringt.
Nein, du hast vollkommen Recht. Im Grunde sind alle modernen Chiffren nach aktuellem Stand sicher. Wichtig war an der Stelle vor allem der Hinweis auf das laufende System. Denn, wenn du auf deine Daten zugreifen kannst, dann muss der Schlüssel ja im System irgendwo vorliegen, und zwar im Klartext. Und wenn du dir jetzt vorstellst, dass Ermittlungsbehörden vor deinem angeschalteten Rechner stehen, dann ist im Prinzip "nur" noch die Bildschirmsperre und ggf. die Rechteverwaltung deines Systems das Problem. Das ist aber häufig kein Triviales. Deshalb wird dann auch gerne versucht, einfach den Schlüssel direkt auszulesen, denn der liegt ja im Speicher. Und, na ja, da gibt es so ein paar Herangehensweisen. Aber auch dagegen gibt es Gegenmaßnahmen. Aber du siehst schon an dem Aufwand, der betrieben wird, um den Schlüssel im Klartext abzugreifen, dass das der vielversprechendste Angriffsvektor ist. Dennoch, man stelle sich da Szenario mal in der Praxis vor: Du hast einen fest installierten Rechner und das Kennwort ist im Speicher. Wenn man da jetzt noch drankommen wollen würde, dann müsste man den Rechner im Betrieb öffnen, den Speicher kühlen, dann den Stecker rausreißen, dann den Speicher selbst, dann schnell umbauen und dann noch vor Ort auslesen. Ich habe noch nie gehört, dass sowas vorgekommen ist. Und wenn dann noch Tresor (siehe Link oben) verwendet wird, dann bringt das auch nichts. Dann wäre die einzige Chance, den Rechner auf dem Transport an zu lassen. Dazu muss man eine unterbrechungsfreie Stromversorgung sicherstellen, während der Rechner noch läuft, ihn dann mit einem externen Akku wegtransportieren und monate- bis jahrelang laufenlassen, bis eine Lücke im Bildschirmschoner und eine privilege escalation-Lücke im Kernel oder in einem aktiven Programm, das mit root-Rechten läuft auftaucht. Also alles sehr unwahrscheinliches Szenarien.
|
k1l
Anmeldungsdatum: 22. September 2006
Beiträge: 1253
Wohnort: Köln
|
lubuntu-lulu schrieb: 1) Es packt einen kompletten Layer zwischen OS und Hardware. Und das wird vielen Usern zum Verhängnis und macht im Fall der Fälle entweder mehr Arbeit oder grillt direkt die Daten.
Was heißt das konkret?
Es gibt so schon einige Probleme, die Anfängern große Augen bereiten. Alles was mit Partitionen kopieren, einbinden, verschieben, verändern zu tun hat wird eine Nummer schwerer mit dem extra Layer dazwischen. Gerade wenn was am System schiefläuft. 2) Viele User verschlüsseln wegen ihrer Warez-Sammlung. Das ist aber eh sinnlos, weil die Verfolgungsbehörden keine Noobs sind (auch wenn das viele gerne so hätten). Sie haben da Möglichkeiten an die Daten zu kommen, erst recht wenn das System noch läuft. Zur Not ist man selber eh der beste Angriffsvektor
Vermutlich bin ich der Noob, denn ich dachte bestimmte Verschlüsselungs-Algorythmen sind immer noch nicht geknackt worden?
Dein Satz klingt für mich als Laien ein wenig so, als ob jegliche Verschlüsselung am Ende sowieso nichts bringt.
Jede Verschlüsselung ist durch einfaches ausprobieren knackbar. Schon der erste geratene Versuch kann das richtige Passwort sein. Die Sicherheit der Algorithmen basiert darauf, dass es so viele Versuche brauchen würde, dass man 100 Jahre brauchen würde bei heutigen Rechnern. Das setzt aber vorraus, dass 1. keine extremen Großrechner eingesetzt werden (oder andere Systeme wie Quantencomputer) weil viel hilft beim Ausprobieren auch einfach viel und 2. der Algorithmus nicht selber Lücken hat, die das ganze radikal vereinfachen. Hinzu kommt jetzt noch, dass ein laufendes System nicht verschlüsselt ist. Also wenn jemand, deinen Rechner in die Hände bekommt während der läuft ist das Thema schon durch. Und ja es gibt technische Möglichkeiten die Stromzufuhr zu deinem Gerät am laufen zu halten, sodass man in Ruhe die Daten/den Key auslesen kann. Und das weiß und macht auch die Strafverfolgung, dumm sind die halt auch nicht. Ich sehe bei dem Thema Verschlüsselung halt sehr viel Schein-Sicherheit und Aktionismus. Aber wenn die Leute so viel Zeit und Langeweile haben sollen sie halt machen. Aber das Allheilmittel ist die heutige Technik halt nicht.
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Danke. Das ist ja schon interessant.
Usually a cold boot attack involves cooling memory chips or quickly restarting the computer, and exploiting the fact that data is not immediately lost (or not lost if power is very quickly restored) and the data that was held at the point of intervention will be left accessible to examination.
Wenn ein Computer aus ist, kann jemand trotzdem eine solche kalte Attacke starten und ausprobieren an die Keys zu kommen? Dass heißt, wenn ich einen Stick oder einen Notebook in der Bibliothek liegen lasse und das Gerät ausgeschaltet ist - wäre eine TRESOR Attacke durch "quickly restarting the computer" möglich? Oder ist damit gemeint, der Computer müsste so schnell wie möglich nach dem er abgeschaltet wurde wieder gestartet werden um noch auf Keys im Speicher zu zugreifen zu können? Tut mir leid, wenn ich nicht so schnell im Kopf bin ☺
|
itoss
Anmeldungsdatum: 4. April 2014
Beiträge: 419
|
UYFB ( USE YOUR FUCKING BRAIN ) *fg denk doch mal nach !!! laufendes System im falle von Vollverschlüsselung ⇒ Daten liegen unverschlüsselt vor weil System entschlüsselt | BIOS layer etc Zugriffmöglicheit über extern = Zugriff auf verschlüsselte Daten da Daten bei Boot entschlüsselt | offline zugriff sicher PC aus ⇒ Wiederaufrischung der RAM Speicherzustände inaktiv = Daten nach wenigen Sekunden weg, Mit kühlen kann vllt 20 - 30 Sekunden raus holen ⇒ Massnahme dagegen Schaltleiste auf dem Boden am Desktopschreibtisch - bis die Komiker in blau kapieren was bei dir los ist, ist der Rechner schon einige Sekunden stromlos und damit das PW aus dem RAM weg und Platten nicht mehr entschlüsselt darum bringt es meiner Meinung ach nix Server zu verschlüsseln da die eh 24/7 laufen. Anders siehts bei Containern/Datenträgern aus, die nicht beim Systemstart entschlüsselt werden, solange diese Daten nicht geöffnet/entschlüsselt werden hat selbst ein Angreifer der root Rechte auf dem System hat keine Chance diese Daten zu lesen. Selbst wenn der Angreifer root rechte auf dem Server hat ( wahrscheinlicher weil 24/7 online ) und der LUKS Container per sshfs auf dem Client eingebunden und geöffnet wird bringt es dem Angreifer nichts, da die gesamte LUKS Verwaltung auf dem Client läuft, Daten werden dort Ent-und verschlüsselt und der Traffic in den Container erfolgt bereits verschlüsselt, auch taucht der key nirgendwo auf dem Server auf sondern nur im Client wo er zum öffnen des Containers Eingeben werden muss. Ist man extrem paranoid kann man dem Client den Gateway entziehen und somit den Client nur noch im LAN aktiv halten, damit wird dann Kommunikation ins Netz unterbunden, Im Falle eines EFI Systems könnte eine Virtuelle LAN Karte sich allerdings trotzdem ins Netz verbinden ( sind ja dann 2 Systeme EFI und das eigentliche OS ), aber auch da gibs mit iptables die Möglichkeit den traffic zu unterbinden und z.b. nur sshfs zum Server zuzulassen. wie mr. spock schon sagte : Logik ist der Anfang aller Weisheit 😉
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
k1l schrieb: Jede Verschlüsselung ist durch einfaches ausprobieren knackbar. Schon der erste geratene Versuch kann das richtige Passwort sein.
Richtig.
Die Sicherheit der Algorithmen basiert darauf, dass es so viele Versuche brauchen würde, dass man 100 Jahre brauchen würde bei heutigen Rechnern.
Falsch. Wir reden von ganz anderen Dimensionen. Üblicherweise gibt man die Sicherheit eines Passworts in Bit an, das heißt in in 2^n. Wenn wir jetzt exemplarisch mal die Sicherheit eines 26-stelligen Passoworts berechnen wollen, das nur die 95 druckbaren ASCII-Zeichen enthält, dann erhalten wir eine Sicherheit von: | irb(main):020:0> Math::log((95**26),2)
=> 170.81624581660466
|
Also 170 Bit Sicherheit. Das ist allerdings nur das Passwort, über das man mit einem Schlüsselableitungsverfahren zum eigentlichen 128-Bit-Schlüssel (im Falle von AES128) kommt. Man sieht also, dass das Passwort bei ausreichender Länge nicht mehr der beste Angriffspunkt ist, sondern der Schlüssel selbst. Jetzt können wir uns überlegen: Wenn die NSA 80 Bit schafft, dann braucht man | irb(main):034:0> 2**(128-80)
=> 281474976710656
|
Mal die Rechenleistung der NSA. Sprich: Die NSA (ohne Quantencomputer, s.u.) hat keine Chance, AES128 zu knacken. Insofern...
Das setzt aber vorraus, dass 1. keine extremen Großrechner eingesetzt werden
... können die ruhig mit den größten denkbaren Computern ankommen, weil ...
viel hilft beim Ausprobieren auch einfach
... auch irgendwann nicht mehr.
Systeme wie Quantencomputer
... machen in der Tat schlagartig alle asymmetrischen Algorithmen wie RSA/DSA/Elgamal kaputt, reduzieren aber bei symmetrischen Algorithmen die Komplexität auf die Quadratwurzel. Das bedeutet, dass AES128 dann nur noch 64 Bit Sicherheit hätte (und damit von der NSA geknackt werden kann), aber schon AES192 und erst Recht AES256 auch langfristig sicher vor Quantencomputern sind. Es sei denn...
der Algorithmus nicht selber Lücken hat, die das ganze radikal vereinfachen.
Allerdings gibt es da in der weltweiten Forschung im Moment schlichtweg nichts, was darauf hindeuten würde, dass man auch nur ansatzweise in die Nähe dessen käme. Siehe z.B. hier. Nicht einmal DES ist gebrochen - es ist nur so, dass der Schlüsselraum zu klein ist (56 Bit) und man ihn deshalb binnen Tagen vollständig durchsuchen kann.
Ich sehe bei dem Thema Verschlüsselung halt sehr viel Schein-Sicherheit und Aktionismus. Aber wenn die Leute so viel Zeit und Langeweile haben sollen sie halt machen. Aber das Allheilmittel ist die heutige Technik halt nicht.
Ich nicht. Ich sehe sehr viele Menschen, die sich schlichtweg nicht vorstellen können, dass wir als Endnutzer tatsächlich Software in den Händen halten, die effektiv die mächtigsten Geheimdienste der Welt aussperrt. Insofern ist die Technik (genauer: sind die Algorithmen) in diesem ganzen System von Wissen und Keyloggern und social engineering und und und der robusteste Part.
|
itoss
Anmeldungsdatum: 4. April 2014
Beiträge: 419
|
"Ich nicht. Ich sehe sehr viele Menschen, die sich schlichtweg nicht vorstellen können, dass wir als Endnutzer tatsächlich Software in den Händen halten, die effektiv die mächtigsten Geheimdienste der Welt aussperrt. Insofern ist die Technik (genauer: sind die Algorithmen) in diesem ganzen System von Wissen und Keyloggern und social engineering und und und der robusteste Part." Wenn man die logische Abfolge dahinter versteht ... Soziales Ausspionieren ist immer noch am einfachsten, da die Menschen in der Regal immer noch gutgläubig und hilfbereit sind und den Feind nicht als solchen sehen. Besten BSP ist immer noch DAUM , gibt voll zu gekokst ne Haarprobe ab in der Hoffnung die sind zu blöd zum analysieren oder finden schlicht nix - hat auch nicht funktioniert. Freiheit herrscht da wo die Regierung Angst vor dem Volk hat ; Wo das Volk Angst vor der Regierung hat herrscht Tyrannei ....
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Soll ich dafür einen neuen Thread erstellen? Ich habe einen verschlüsselten Stick mit LUKS erstellt. Hat alles gut geklappt. Aber ich kann keine Dateien von meinem normalen Benutzerkonto auf den Stick schieben. Geht nur mit meinem Admin-Konto mit dem ich den Stick erstellt habe. Reicht es vlt. sogar einfach nur, wenn ich den Stick eingehängt habe im Dateimanager rechte Maustaste zu klicken und Eigenschaften==>Änderungen vornehmen:Jeder ? Außerdem: Wie sieht das mit diesem Header Backup aus? Verstehe ich nicht ganz wofür das wichtig ist bzw. wie das funktioniert. Den Header kann ich einfach auf einer nicht-verschlüsselten Platte als Backup liegen haben?
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
lubuntu-lulu schrieb: Soll ich dafür einen neuen Thread erstellen?
Na ja, das hier ist ja eher ein Diskussions- und Meinungsthread... musst du wissen.
Ich habe einen verschlüsselten Stick mit LUKS erstellt. Hat alles gut geklappt. Aber ich kann keine Dateien von meinem normalen Benutzerkonto auf den Stick schieben. Geht nur mit meinem Admin-Konto mit dem ich den Stick erstellt habe.
Das ist das, was schon gesagt wurde: Du hast eine Abstraktionsschicht eingebaut. Für alle Anwendungsprogramme gibt es halt - im entschlüsselten und gemounteten Zustand - eine Partition, die beschreibbar ist. Wenn es da Rechteprobleme gibt, dann sind die von der Art her nicht anders als alle anderen Rechteprobleme auch. Hat also mit der Verschlüsselung nix zu tun.
Reicht es vlt. sogar einfach nur, wenn ich den Stick eingehängt habe im Dateimanager rechte Maustaste zu klicken und Eigenschaften==>Änderungen vornehmen:Jeder ?
Theoretisch ja (damit kümmerst du dich übrigens um das Rechteproblem), aber immer jedem alles zu erlauben widerspricht so ein bisschen dem Konzept von Rechten.
Außerdem: Wie sieht das mit diesem Header Backup aus? Verstehe ich nicht ganz wofür das wichtig ist bzw. wie das funktioniert. Den Header kann ich einfach auf einer nicht-verschlüsselten Platte als Backup liegen haben?
Im Header steht der verschlüsselte Schlüssel zu deinen Daten. Wenn du dein Passwort eingibst, dann wird der Schlüssel im Header damit entschlüsselt und du kommst an deine Daten. Es wird also beides benötigt: Header und Passwort. Fehlt eins von beiden, kommt man nicht an die Daten. Es ist also sehr effizient möglich, alle Daten auf einer Platte zu vernichten, indem man das erste Megabyte einer LUKS-verschlüsselten Partition überschreibt. Und weil dieser Bereich ja auch einfach mal kaputtgehen kann (kaputte Sektoren, fahrlässiges Ausführen von Befehlen...) sollte man davon ein Backup haben. Das muss nicht verschlüsselt abgelegt werden, denn es ist ja verschlüsselt, aber es sollte unzugänglich für Dritte sein. Du kannst ja mit LUKS Passwörter ändern, ohne deine ganze Partition neu verschlüsseln zu müssen. Wenn jetzt aber ein Passwort von dir öffentlich geworden ist und du es geändert hast, jemand anders aber noch Zugang zu einem alten Header-Backup hat, das zu einem Zeitpunkt erstellt wurde, als das alte Passwort noch galt, dann kommt er mit dem alten Header und dem alten Kennwort an die Daten.
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Super. Danke für deine gut verständlichen Erklärungen! Dafür müsste jemand ja dann überhaupt erstmal mein altes Passwort wissen (+eben an den alten Header rankommen). Klingt aber logisch, den Header lieber zu sichern.
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
lubuntu-lulu schrieb: Super. Danke für deine gut verständlichen Erklärungen!
😇
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Was soll ich mit dem Ordner "lost+found" auf dem Stick machen? Hatte ich noch nie, wenn ich mit FAT-32 unverschlüsselt formatierte. Jetzt ist es aber ja ein USB-Stick mit, ext4 + verschlüsselt Ordner beibehalten oder löschbar?
|
unbuntuS12
Anmeldungsdatum: 2. Juni 2010
Beiträge: 1816
|
lubuntu-lulu schrieb: Was soll ich mit dem Ordner "lost+found" auf dem Stick machen? Hatte ich noch nie, wenn ich mit FAT-32 unverschlüsselt formatierte. Jetzt ist es aber ja ein USB-Stick mit, ext4 + verschlüsselt
Was hatten wir über Abstraktionsschichten gesagt? Die Verschlüsselung wird wegabstrahiert. Dein versteckter Ordner liegt in einem Dateisystem, also hat der offenbar was mit dem Dateisystem zu tun. Dem Dateisystem selbst ist es vollkommen Banane, ob es auf RAID10-System sitzt, das aus vier physischen Datenträgern besteht, wovon einer auf auf einem Raspberry Pi in Panama angeschlossen ist und über NFS als Blockgerät über ein VPN bereitgestellt wird. Oder auf der SD-Karte eines Tomtom-Autonavis, das über LTE funkt. Oder auf dem ROM eines internetfähigen Toasters in Rheda-Wiedenbrück.
Ordner beibehalten oder löschbar?
Selbst entscheiden
|
lubuntu-lulu
(Themenstarter)
Anmeldungsdatum: 7. September 2014
Beiträge: 542
|
Okay. Jetzt habe wohl auch ich es verstanden ☺ Checks wohl immer erst beim zweiten oder dritten Mal fragen. Entschuldigung und großen Dank für deine Geduld und Hilfsbereitschaft! ☺ LG, Leo
|
k1l
Anmeldungsdatum: 22. September 2006
Beiträge: 1253
Wohnort: Köln
|
lubuntu-lulu schrieb: Was soll ich mit dem Ordner "lost+found" auf dem Stick machen?
Der wird vom ext4 automatisch angelegt. Dort packt das ext4 die Daten rein, die es nach einem Crash oder beim fsck "wieder"findet. Einfach lassen, gehört dazu.
|
itoss
Anmeldungsdatum: 4. April 2014
Beiträge: 419
|
lulu ... - wie alt bist du ? 10 ? wie lange nutzt du linux ? 1 Woche ? ich werde das Gefühl nicht los das du dieser Gruppierung angehörst : http://daemonkeeper.net/43/linux-ist-nichts-fuer-dich-lass-es/ Das sind alles Grundlagen um die es hier geht und jedem der Linux mit Hirn nutzt und schaut was im System passiert erklären sich die Zusammenhänge von selbst ... Naja ich bin raus, zum Manuals zitieren ist mir meine zeit zu schade ... Grundlagen zum Thema Luks LVM devicemapper findest du hier : http://speefak.spdns.de/oss_lifestyle/lvm-installation-auf-luks-basis-und-manueller-partitionierung/
|